Apa yang tampaknya merupakan varian baru dari ransomware Babuk telah muncul untuk menyerang server VMware ESXi di beberapa negara, termasuk serangan yang dikonfirmasi pada IxMetro PowerHost, sebuah perusahaan hosting pusat data Chili. Varian ini menamakan dirinya “SEXi,” sebuah permainan pada platform target pilihannya.
Menurut peneliti keamanan siber CronUp Fernandez Jerman, CEO PowerHost Ricardo Rubem mengeluarkan pernyataan yang mengonfirmasi bahwa varian ransomware baru telah mengunci server perusahaan menggunakan ekstensi file .SEXi, dengan vektor akses awal ke jaringan internal masih belum diketahui. Para penyerang meminta uang tebusan sebesar $140 juta, yang menurut Rubem tidak akan dibayarkan.
Kemunculan SEXi berada di persimpangan dua tren utama ransomware: banyaknya pelaku ancaman yang memilikinya mengembangkan malware berdasarkan kode sumber Babuk; dan keinginan untuk mengkompromikan server VMware EXSi yang sangat menarik.
IX Serangan PowerHost Bagian dari Kampanye Ransomware yang Lebih Luas
Sementara itu, Will Thomas, peneliti CTI di Equinix, menemukan apa yang dia yakini sebagai biner terkait dengan yang digunakan dalam serangan tersebut, dijuluki “LIMPOPOx32.bin” dan ditandai sebagai Babuk versi Linux di VirusTotal. Pada saat pers, malware tersebut memiliki tingkat deteksi 53%. di VT, dengan 34 dari 64 vendor keamanan menandainya sebagai berbahaya sejak pertama kali diunggah pada 8 Februari. MalwareHunterTeam melihatnya kembali pada Hari Valentine, ketika digunakan tanpa nama “SEXi” dalam serangan terhadap suatu entitas di Thailand.
Namun Thomas selanjutnya menemukan biner lain yang terkait. Seperti dia tweeted, “Serangan ransomware SEXi pada IXMETRO POWERHOST terkait dengan kampanye yang lebih luas yang telah melanda setidaknya tiga negara Amerika Latin.” Mereka menyebut diri mereka Socotra (digunakan dalam serangan di Chile pada tanggal 23 Maret); Limpopo lagi (digunakan dalam serangan di Peru pada 9 Februari); dan Formosa (digunakan dalam serangan di Meksiko pada 26 Februari). Yang mengkhawatirkan, pada saat berita ini dimuat, ketiganya mencatat nol deteksi di VT.
Secara keseluruhan, temuan ini menunjukkan pengembangan kampanye baru menggunakan berbagai iterasi SEXi yang semuanya mengarah ke Babuk.
TTP Bayangan Muncul dalam Serangan SEXi
Tidak ada indikasi dari mana asal operator malware atau apa niat mereka. Namun perlahan-lahan muncul serangkaian taktik, teknik, dan prosedur. Pertama, tata nama biner berasal dari nama tempat. Limpopo adalah provinsi paling utara di Afrika Selatan; Socotra adalah sebuah pulau Yaman di Samudera Hindia; dan Formosa adalah sebuah republik berumur pendek yang terletak di Taiwan pada akhir tahun 1800-an, setelah Dinasti Qing di Tiongkok menyerahkan kekuasaannya atas pulau tersebut.
Dan, seperti yang ditunjukkan oleh MalwareHunterTeam di X, “mungkin menarik / layak untuk disebutkan tentang ransomware 'SEXi' ini bahwa metode komunikasi yang ditentukan oleh aktor dalam catatan adalah Sesi. Meskipun kami [pernah] melihat beberapa aktor menggunakannya bertahun-tahun yang lalu, saya [tidak] ingat pernah melihatnya dalam kaitannya dengan kasus/aktor besar/serius.”
Session adalah aplikasi pesan instan terenkripsi end-to-end lintas platform yang menekankan kerahasiaan dan anonimitas pengguna. Catatan tebusan dalam serangan IX PowerHost mendesak perusahaan untuk mengunduh aplikasi dan kemudian mengirim pesan dengan kode “SEXi”; catatan sebelumnya dalam serangan di Thailand mendesak pengunduhan Sesi tetapi menyertakan kode “Limpopo.”
EXSi Seksi bagi Penyerang Siber
Platform hypervisor EXSi dari VMware berjalan di Linux dan OS mirip Linux, dan dapat menampung beberapa mesin virtual (VM) yang kaya data. Itu telah menjadi target populer bagi pelaku ransomware selama bertahun-tahun, sebagian karena besarnya permukaan serangan: Ada puluhan ribu server ESXi yang terekspos ke Internet, menurut pencarian Shodan, dan sebagian besar menjalankan versi lama. Dan itu tidak memperhitungkan mereka yang dapat dijangkau setelah pelanggaran akses awal pada jaringan perusahaan.
Juga berkontribusi terhadap meningkatnya minat geng ransomware terhadap EXSi, platform ini tidak mendukung alat keamanan pihak ketiga mana pun.
“Perangkat yang tidak dikelola seperti server ESXi adalah target besar bagi pelaku ancaman ransomware,” menurut laporan dari pramuka dirilis tahun lalu. “Itu karena data berharga di server ini, semakin banyak kerentanan yang dieksploitasi yang mempengaruhi mereka, seringnya mereka terpapar Internet dan sulitnya menerapkan langkah-langkah keamanan, seperti deteksi dan respons titik akhir (EDR), pada perangkat ini. ESXi adalah target dengan keuntungan tinggi bagi para penyerang karena ESXi menghosting beberapa VM, sehingga memungkinkan penyerang untuk menyebarkan malware satu kali dan mengenkripsi banyak server dengan satu perintah.”
VMware memiliki panduan untuk mengamankan EXSi lingkungan. Saran khusus meliputi: Pastikan perangkat lunak ESXi telah di-patch dan mutakhir; mengeraskan kata sandi; hapus server dari Internet; memantau aktivitas abnormal pada lalu lintas jaringan dan server ESXi; dan memastikan ada cadangan VM di luar lingkungan ESXi untuk mengaktifkan pemulihan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 23
- 26%
- 7
- 8
- 9
- a
- abnormal
- Tentang Kami
- mengakses
- Menurut
- Akun
- kegiatan
- aktor
- mempengaruhi
- Afrika
- Setelah
- lagi
- silam
- Semua
- Membiarkan
- sudah
- Amerika
- an
- dan
- keadaan tanpa nama
- Apa pun
- aplikasi
- muncul
- Aplikasi
- ADALAH
- AS
- At
- menyerang
- Serangan
- kembali
- backup
- berdasarkan
- BE
- karena
- menjadi
- makhluk
- percaya
- BIN
- pelanggaran
- lebih luas
- tapi
- by
- panggilan
- Panggilan
- Kampanye
- CAN
- pusat
- ceo
- Chili
- Tiongkok
- pilihan
- kode
- datang
- Komunikasi
- perusahaan
- kompromi
- kerahasiaan
- DIKONFIRMASI
- berkontribusi
- Timeline
- negara
- Persimpangan jalan
- Keamanan cyber
- data
- Data Center
- hari
- menyebarkan
- keinginan
- Deteksi
- Pengembangan
- Devices
- Kesulitan
- ditemukan
- doesn
- don
- Download
- dijuluki
- Terdahulu
- muncul
- muncul
- munculnya
- muncul
- menekankan
- aktif
- mengenkripsi
- terenkripsi
- ujung ke ujung
- Titik akhir
- memastikan
- entitas
- Lingkungan Hidup
- lingkungan
- Equinix
- Bahkan
- terkena
- Pencahayaan
- perpanjangan
- Februari
- File
- Temuan
- Pertama
- Untuk
- pramuka
- sering
- segar
- dari
- lebih lanjut
- Geng
- besar
- Pertumbuhan
- meningkatnya minat
- memiliki
- menangani
- Memiliki
- he
- Memukul
- tuan rumah
- tuan
- host
- HTML
- HTTPS
- i
- mengimplementasikan
- in
- memasukkan
- Termasuk
- India
- menunjukkan
- indikasi
- mulanya
- saat
- niat
- bunga
- menarik
- intern
- Internet
- ke
- pulau
- Ditempatkan
- IT
- iterasi
- NYA
- Diri
- jpg
- Terakhir
- Tahun lalu
- Terlambat
- Latin
- Amerika Latin
- memimpin
- paling sedikit
- terkait
- linux
- terletak
- terkunci
- Mesin
- utama
- membuat
- jahat
- malware
- March
- mungkin
- ukuran
- menyebut
- pesan
- pesan
- metode
- Mexico
- juta
- Memantau
- paling
- beberapa
- nama
- jaringan
- lalu lintas jaringan
- New
- tidak
- mencatat
- novel
- sekarang
- jumlah
- banyak sekali
- samudra
- of
- lebih tua
- on
- sekali
- ONE
- operator
- or
- OS
- Lainnya
- di luar
- di luar
- lebih
- dibayar
- bagian
- password
- peru
- Tempat
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- pers
- Prosedur
- Tebusan
- ransomware
- Serangan Ransomware
- ruam
- pemulihan
- terdaftar
- terkait
- hubungan
- dirilis
- ingat
- menghapus
- melaporkan
- Republik
- peneliti
- tanggapan
- Aturan
- berjalan
- berjalan
- s
- Pencarian
- mengamankan
- keamanan
- Pengamanan
- melihat
- terlihat
- mengirim
- Server
- Sidang
- set
- beberapa
- menampilkan
- sejak
- tunggal
- Ukuran
- Perlahan
- Perangkat lunak
- beberapa
- sumber
- Selatan
- Afrika Selatan
- tertentu
- ditentukan
- berdiri
- Pernyataan
- seperti itu
- mendukung
- yakin
- Permukaan
- taktik
- Taiwan
- Mengambil
- target
- teknik
- memiliki
- Thai
- Thailand
- bahwa
- Grafik
- mereka
- Mereka
- diri
- kemudian
- Sana.
- Ini
- pihak ketiga
- ini
- thomas
- itu
- ribuan
- ancaman
- aktor ancaman
- tiga
- waktu
- untuk
- lalu lintas
- Tren
- dua
- terbongkar
- tidak dikenal
- mutakhir
- upload
- mendesak
- bekas
- Pengguna
- menggunakan
- Berharga
- Varian
- berbagai
- Ve
- vendor
- versi
- Versi
- maya
- vmware
- Kerentanan
- adalah
- Apa
- ketika
- yang
- sementara
- SIAPA
- lebih luas
- akan
- dengan
- tanpa
- bernilai
- akan
- X
- tahun
- tahun
- namun
- zephyrnet.dll
- nol